javascript我们已经观察到,user1只需更改会话Id就可以访问USER2
我面临的一个问题是,如果我从user1复制session_id,并在USER2中使用相同的session id
然后我的会话从user1劫持到user2, 我正在使用Java、tomcat、hibernate、javascript和RESTAPI
你知道如何解决这个问题吗
你可以在下面搜索框中键入要查询的问题!
我面临的一个问题是,如果我从user1复制session_id,并在USER2中使用相同的session id
然后我的会话从user1劫持到user2, 我正在使用Java、tomcat、hibernate、javascript和RESTAPI
你知道如何解决这个问题吗
# 1 楼答案
这就是会话的工作原理。除非会话无效,否则它的id就是将客户端和服务器连接在一起的id。如果你的用户共享他们的用户名和密码,你会认为安全漏洞或登录是如何工作的?p>
除非你想让用户的生活更艰难。然后,您可以检查IP地址,但通过无线连接漫游的笔记本电脑用户或代理后的用户将在其IP更改后立即退出会话
或者,您可以在浏览器上建立指纹,并确定使用会话id的用户与最初获得会话id的用户不同
没有一种方法是完美的,所有方法都会有取舍